Android fa i conti con la prima vulnerabilità

Il sistema operativo per telefoni cellulari Android ha incontrato la sua prima vulnerabilità. A scoprirla è stato Charlie Miller, un ricercatore indipendente, che ha immediatamente contattato Google e sta collaborando attivamente con Mountain View per portare al più presto una patch che risolva il problema. La scoperta risale a due giorni prima dell’inizio della commercializzazione dei primi terminali T-Mobile G1, avvenuta il 22 Ottobre e lo scopritore avverte: i telefoni venduti sono vulnerabili.

Google non avrebbe infatti avuto il tempo di preparare un update per tappare la falla e avrebbe per questo chiesto a Miller di non rivelare alcuna notizia al riguardo. Miller, dal canto suo, ha preferito pubblicare la notizia della presenza della falla per mettere in guardia gli utenti del G1, ma non ha reso noto alcun dettaglio sul relativo exploit, rimandandone la pubblicazione a dopo che Google avrà distribuito l’aggiornamento.

La vulnerabilità è localizzata all’interno del browser web, da sempre e non solo sui telefonini uno dei punti più esposti e per questo più critici per il problema sicurezza. Grazie all’exploit sviluppato, Miller è riuscito con successo a indirizzare il browser del G1 verso un sito malevolo da cui è stato possibile installare un software malevolo senza l’intervento dell’utente. Google tiene a sottolineare che Android fa girare ognuna delle applicazioni in una sandbox indipendente e che quindi la vulnerabilità non può intaccare il resto del sistema. Miller conferma quanto detto da Google ma mette comunque in guardia dai problemi che potrebbero derivare da una compromissione del browser, come il furto di password utilizzate sul web e l’accesso ai dati personali memorizzati dal browser.

Nel post in cui viene comunicata la scoperta, Miller attribuisce la responsabilità del problema a Google. Infatti Android è composto da più di 80 software open source differenti e in questo particolare caso, la vulnerabilità presente all’interno di uno di essi era già nota. Google sarebbe quindi colpevole di aver utilizzato una versione vecchia di uno dei componenti software nonostante un aggiornamento non vulnerabile fosse già disponibile.

Il ricercatore, noto anche per aver scoperto una falla dell’iPhone, approfitta dell’occasione anche per fare un breve confronto tra il melafonino e il googlefonino sul piano della sicurezza. Secondo Miller Android parte in vantaggio grazie al sandboxing, che chiude ognuna delle applicazioni in una camera stagna che impedisce, ad esempio, che un browser compromesso possa permettere ad un aggressore di effettuare delle telefonate. L’iPhone è invece privo di questa caratteristica e una volta penetrato nel sistema l’aggressore ha accesso a tutti i dati e tutte le funzioni del telefono.